情况如下:FFUF已经发现了几十/几百个"隐藏"资源。 您可以手动将地址复制到浏览器,以检查每个地址是否有有趣的结果,或自动处理整个过程。 我推荐第二种方法,我将添加一个现成的脚本,其中一部分的工作将为我们做。
- 创建有用的单个班轮的第一步是在 FFUFie 中使用"冗长"模式。 它将将结果返回给我们,同时返回资源的完整链接:
。/福夫-w/字典.txt-u https://juice-shop.herokuapp.com/FUZZ-v
![福夫冗长模式](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_949,h_503/https://my127001.pl/wp-content/uploads/2021/07/image-5.png)
2。 反过来,我们将使用命令"grep",该命令将只提取包含 URL 的行:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"|网址|"
![福夫·格雷普](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_388/https://my127001.pl/wp-content/uploads/2021/07/image-6-1024x388.png)
(三) 有什么问题吗? 下一步是使用"awk"命令从您收到的结果中提取网址本身:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"||网址|awk-F"|""{打印$3}"
![福福·奥克](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_409/https://my127001.pl/wp-content/uploads/2021/07/image-7-1024x409.png)
4。 现在获得的结果应重定向到文件并使用程序"目击证人"。 他将为我们访问每个找到的资源,并保存他看起来像什么的"截图"。 因此,我们只能查看收到的图像,以便找到有趣的信息:
![目击者](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_815,h_577/https://my127001.pl/wp-content/uploads/2021/07/image-8.png)
![福夫·格雷普·奥克目击证人](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_459/https://my127001.pl/wp-content/uploads/2021/07/image-9-1024x459.png)
完成的单线如下:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"||网址|awk-F"|""{打印$3}">>网址.txt和目击者-f网址.txt-d截图